一、背景概述

針對網(wǎng)站的Web攻擊是互聯(lián)網(wǎng)安全面臨的主要威脅，為隱藏身份、逃避追蹤，在對目標網(wǎng)站發(fā)起攻擊時，黑客往往會采用多種手段隱藏自己的身份，如：使用(動態(tài))代理、虛擬專用網(wǎng)絡等。攻擊者的這些手段很好的隱藏了自身信息，增加了安全人員追蹤溯源的難度。

雖然針對Web攻擊的防御技術、溯源技術也在不斷發(fā)展之中，如: IDS、WAF、基于日志/流量溯源等，但這些技術往往處于被動防御的狀態(tài)、或溯源信息不足，難以應對復雜多變的攻擊手段。

• 問題一：攻擊流量被隱藏在大量的合法流量中，不易被發(fā)現(xiàn)和識別。盡管IDS、WAF功能強大，但依然存在漏報或誤報的可能，而且也存在因其自身漏洞或規(guī)則不完善而被繞過的可能。
• 問題二：即使識別攻擊后，可基于IP黑名單機制阻斷攻擊源，但如果攻擊者切換了出口IP，如何在新的攻擊發(fā)起之前有效識別攻擊行為，也是目前IDS、WAF等安全產(chǎn)品所不具備的功能。
• 問題三：假如攻擊者在攻擊過程中使用了(動態(tài))代理、虛擬專用網(wǎng)絡等手段，則傳統(tǒng)的基于Web日志、基于網(wǎng)絡流量的追蹤技術，并不能有效的定位攻擊者的身份或位置。

二、本文目的

圖1 研究目標

為彌補傳統(tǒng)安全防御技術的不足，為網(wǎng)絡犯罪溯源取證提供依據(jù)，基于主動防御的思想，本文提出了一種基于網(wǎng)絡欺騙和瀏覽器指紋的溯源技術方案，旨在有效識別網(wǎng)絡攻擊行為、定位攻擊者身份或位置，并可通過不同網(wǎng)站之間的協(xié)作或信息共享機制感知潛在的試探性攻擊行為。

三、相關技術

1. 瀏覽器指紋技術

圖2 瀏覽器指紋技術概述

在瀏覽器與網(wǎng)站服務器交互時，瀏覽器會向網(wǎng)站暴露許多的不同消息，比如瀏覽器型號、瀏覽器版本、操作系統(tǒng)等信息。如同人的指紋可以用來識別不同的人一樣，當瀏覽器暴露信息的熵足夠高時，網(wǎng)站就可利用這些信息來識別、追蹤和定位用戶。

圖3 瀏覽器指紋技術能力

將該技術應用于攻擊溯源，即使黑客使用了(動態(tài))代理、虛擬專用網(wǎng)絡等，采集指紋信息的“溯源腳本”也可反向到達客戶端的瀏覽器，進而被觸發(fā)執(zhí)行，以獲取與黑客關聯(lián)性更強的信息。其中，可采集的信息不僅包括客戶端的系統(tǒng)字體、系統(tǒng)語言、瀏覽器插件、時區(qū)偏移量、Canvas、內(nèi)外網(wǎng)IP等設備信息，也可采集攻擊者的鍵盤記錄、訪問過的網(wǎng)站，甚至特定網(wǎng)站賬號(存在JSONP漏洞)等行為信息。(“溯源腳本”基于JavaScript代碼實現(xiàn))

2. 網(wǎng)絡欺騙技術

圖4 網(wǎng)絡欺騙技術概述

網(wǎng)絡欺騙是一種針對網(wǎng)絡攻擊的防御手段(或策略)，目的是讓攻擊者相信目標系統(tǒng)存在有價值的、可利用的安全弱點(偽造或不重要的)，從而將攻擊者引向這些錯誤的資源，以達到檢測攻擊、阻礙攻擊、記錄攻擊行為的目的。其中，蜜罐是我們常見的一種網(wǎng)絡欺騙技術，除了蜜罐技術，還存在蜜餌、蜜網(wǎng)、虛擬網(wǎng)絡拓撲等多種欺騙技術實現(xiàn)方式。

圖5 網(wǎng)絡欺騙技術手段

通常情況下，攻擊者在試圖攻擊網(wǎng)站之前，都會有一些固有手法，用于收集目標網(wǎng)站的信息，如：子域名爆破，高危端口掃描、敏感目錄掃描、Web漏洞掃描等。針對不同的攻擊手段，可采用不同的欺騙手段來迷惑攻擊者，如：針對子域名爆破行為，可部署虛假的網(wǎng)站并綁定子域名;針對目錄掃描行為，可部署虛假的后臺登錄頁面等。

四、應用場景

1. 應用場景-專用欺騙環(huán)境

圖6 專用欺騙環(huán)境架構

部署專用的網(wǎng)絡欺騙環(huán)境，如：注冊子域名并故意綁定虛假的Web業(yè)務系統(tǒng);在Web服務器上部署虛假的網(wǎng)站登錄、注冊頁面(用于抓取攻擊者的手機號、郵箱等信息);部署存在漏洞的Weblogic并對互聯(lián)網(wǎng)開放等。同時，所有的“欺騙性信息或服務”均不對外發(fā)布，只有采取一定的技術手段才能訪問，而正常用戶通常不會進行該操作。

2. 應用場景-常規(guī)網(wǎng)站防護

圖7 網(wǎng)站后臺防護架構

在真實的業(yè)務系統(tǒng)的管理員登錄頁面部署“溯源腳本”，不僅可采集攻擊者的指紋信息，而且當某攻擊者使用同一設備對多個業(yè)務系統(tǒng)的管理員登錄頁面實施攻擊時，也可通過瀏覽器指紋將攻擊事件進行關聯(lián)。(備注：管理員設備的指紋信息已加白)

圖8 網(wǎng)站整體防護架構

此外，也可在網(wǎng)站首頁部署“溯源腳本”，采集所有用戶的指紋信息，并與指紋庫中(僅存儲歸屬于攻擊行為的客戶端指紋)的信息做比較，以感知潛在的試探性攻擊行為。該應用場景的優(yōu)點在于，在攻擊者對網(wǎng)站進行分析、查找漏洞的過程中，即可將其從大量正常流量中識別出來。

3. 應用場景-注入WebShell

圖9 溯源Webshell

當發(fā)現(xiàn)網(wǎng)站被攻擊者入侵且留下WebShell后門時，除做好網(wǎng)絡和機器隔離外，可暫時不清除木馬文件，而是向其中插入“溯源腳本“， 等待攻擊者再次訪問，從而獲取與攻擊者關聯(lián)性較強的指紋信息，為溯源取證提供依據(jù)。

五、優(yōu)點與不足

1. 該方案的優(yōu)點：

(1) 不存在誤報

構建的欺騙環(huán)境不對互聯(lián)網(wǎng)發(fā)布，正常用戶是不可見的，只有采用一定手段才可能發(fā)現(xiàn)。凡是訪問這些虛假資源的行為，均被認為是潛在的攻擊行為，故不存在誤報情況。

因此，相對于IDS、WAF等常規(guī)安全防護產(chǎn)品，基于網(wǎng)絡欺騙技術，可將攻擊流量從大量的合法流量中識別出來，不存在誤報情況的發(fā)生。

(2) 改善漏報率

即使黑客在攻擊過程中，使用了大量的代理服務器，不斷的變化著出口IP地址?；跒g覽器指紋技術，可及時發(fā)現(xiàn)采用同一設備發(fā)起的試探性攻擊行為，進而阻斷該攻擊。(備注：實際使用時需考慮瀏覽器指紋的碰撞率問題)

因此，相對基于IP黑名單的防御機制，基于設備指紋的黑名單機制，可更快的感知、追蹤和阻止攻擊(即使攻擊者使用了大量代理服務器)，從而降低漏報情況的發(fā)生。

(3) 增強溯源能力

相對僅依靠服務端獲取信息的溯源能力，基于瀏覽器指紋技術，可以采集與攻擊者關聯(lián)性更強的客戶端信息，甚至其社交平臺的賬號(需要一定的前提條件)，從而增強溯源取證的能力。

2. 該方案的不足：

(1) 指紋碰撞、指紋關聯(lián)問題

首先，采集的不同客戶端之間的指紋信息，存在指紋碰撞的情況，即: 不同設備的指紋被認為是同一設備。同時，也存在同一設備因切換網(wǎng)絡環(huán)境、更新瀏覽器、或切換瀏覽器導致指紋信息不一致的情況。

因此，如何采集區(qū)別性更好的客戶端特征屬性以降低碰撞率、如果實現(xiàn)跨瀏覽器、跨設備的指紋追蹤，是實際應用中需要考慮的問題。